Wasabi Protocol verloor $5,5 miljoen nadat een beheerderssleutel was gecompromitteerd. Hier is hoe één wallet binnen enkele minuten miljoenen over vier chains wist te plunderen.
Wasabi Protocol leed op 30 april 2025 een grote beveiligingsinbreuk.
Een aanvaller compromitteerde een geprivilegieerde deployer-wallet en trok meer dan $5,5 miljoen weg over vier blockchain-netwerken. De getroffen chains omvatten Ethereum, Base, Berachain en Blast.
Beveiligingsbedrijven Blockaid, CertiK en PeckShield meldden het incident allemaal binnen enkele uren. Wasabi bevestigde het probleem om 10:30 uur UTC en drong er bij gebruikers op aan om onmiddellijk te stoppen met interactie met de contracten.
Lees ook:
https://www.livebitcoinnews.com/sui-defi-hit-again-as-1-14m-is-drained-in-perp-exploit/
Hoe het Wasabi Protocol Admin Key Exploit zich ontvouwde
De aanval betrof geen smart contract-bug. In plaats daarvan kreeg de aanvaller controle over wasabideployer.eth, de enige houder van Wasabi’s beheerderssleutel.
Volgens Blockaid verleende de deployer-wallet ADMIN_ROLE aan een kwaadaardig helpercontract. Dat contract upgradede vervolgens meerdere perpetual futures-vaults en een LongPool, waarbij het rechtstreeks fondsen uit hen haalde.
🚨 Blockaid's exploit detection system identified an on-going admin-key compromise exploit on @wasabi_protocol across Ethereum and Base. The Wasabi: Deployer EOA was used to grant ADMIN_ROLE to an attacker helper contract, which then UUPS-upgraded the perp vaults and LongPool to…
— Blockaid (@blockaid_) April 30, 2026
Blockaid meldde dat ongeveer $2,2 miljoen Ethereum verliet, waaronder 841 wrapped ETH, USDC en verschillende memecoins. Nog eens $2,4 miljoen werd van Base verplaatst.
PeckShield schatte de totale verliezen op meer dan $5 miljoen over alle chains. Beveiligingsonderzoeker Jeremy merkte ook $5,5 miljoen gestolen, waarbij WETH-, PEPE-, Mog- en USDC-vaults als doelwitten werden genoemd. De fondsen kwamen terecht op meerdere door de aanvaller gecontroleerde adressen.
Gecompromitteerde LP-tokens en Vault-contracten over meerdere Chains
Blockaid waarschuwde dat alle Wasabi- en Spicy LP-share-tokens die aan de gecompromitteerde vaults zijn gekoppeld, als gecompromitteerd moeten worden beschouwd. De onderliggende activa die die tokens ondersteunen, waren weggehaald of liepen risico.
Blockaid adviseerde platforms om deze tokens in hun interfaces te markeren en gebruikers met actieve goedkeuringen te vragen om onmiddellijk de toegang in te trekken.
Negen vault-contracten op Ethereum werden als gecompromitteerd vermeld. Deze omvatten de wWETH-, sUSDC-, sREKT-, wPEPE-, wMog-, wBITCOIN-, sZYN-vaults en de LongPool.
Acht contracten op Base werden ook getroffen, waaronder sUSDC-, wWETH-, sBTC/cbBTC-, sVIRTUAL-, sAERO-, sBRETT-, sWELL- en sSKI-vaults.
De stichting van Berachain bevestigde op de hoogte te zijn van de inbreuk. Het pauzeerde en blacklistte getroffen Wasabi-rewardvaults op zijn netwerk en stopte verdere BGT-emissies naar de gecompromitteerde contracten.
Berachain adviseerde gebruikers die op zijn chain interactie hadden met Wasabi om token-goedkeuringen in te trekken via revoke.cash.
Berachain is aware of the Wasabi Protocol admin key compromise affecting multiple chains.
We have paused and blacklisted the affected Wasabi reward vaults on Berachain. No further BGT emissions will flow to the compromised contracts.
If you interacted with Wasabi on Berachain,…
— Berachain Foundation 🐻⛓ (@berachain) April 30, 2026
Single EOA, geen Multisig: Beveiligingsexperts uiten zorgen
De hoofdoorzaak, zoals Blockaid identificeerde, was een enkel extern beheerd account dat volledige ADMIN_ROLE bezat in Wasabi’s PerpManager.
Er was geen multisig, geen timelock en geen DAO-governance die die toegang beschermde. SlowMist-oprichter Cos wees erop dat zodra die privésleutel lekte, er niets meer tussen de aanvaller en de vaults stond.
On-chain-onderzoeker ZachXBT stelde vragen over waarom één wallet zoveel controle had zonder basisbeveiligingen. Bovendien merkte analist Ted Pillows op dat het incident de gevaren benadrukte van geprivilegieerde toegang in combinatie met upgradebare contracten.
Berachain bevestigde dat het samenwerkt met Blockaid en ZeroShadow aan het lopende onderzoek. Dit verhaal is nog in ontwikkeling en verdere details worden verwacht naarmate het onderzoek vordert.
Geef een reactie